De gedecentraliseerde exchange-aggregator 1inch is het slachtoffer geworden van een hack waarbij aanvallers een zwakke plek in een verouderd smart contract misbruikten. Hierdoor werd $5 miljoen aan crypto buitgemaakt. Volgens 1inch zijn de fondsen van gebruikers niet in gevaar.

Wat ging er mis?

Op 5 maart ontdekte 1inch een kwetsbaarheid in de zogeheten resolvers – partijen die orders uitvoeren op hun platform. Het probleem zat in de verouderde Fusion v1-contracten, die niet meer veilig waren. Hackers wisten hier misbruik van te maken en gingen er met miljoenen vandoor.

Uit on-chain onderzoek van SlowMist, een blockchain-beveiligingsbedrijf, bleek dat de hacker op 7 maart de volgende bedragen wist te stelen:

• 2,4 miljoen USDC
• 1.276 Wrapped Ether (WETH)

1inch benadrukt dat alleen resolvers die nog met verouderde contracten werkten, getroffen zijn. Gebruikersfondsen zijn niet geraakt, maar het platform roept alle resolvers op om hun contracten direct te updaten om verdere schade te voorkomen.

Geld terughalen? Kleine kans.

1inch heeft een bug bounty-programma opgezet om eventuele zwakke plekken op te sporen en te dichten. De kans dat de gestolen crypto wordt teruggehaald, is klein. In sommige gevallen betalen hackers een deel terug in ruil voor een beloning – vaak 10% van de buit – zoals eerder gebeurde bij Shezmu.

Toch zijn er ook hackers die zonder pardon alles witwassen. Een recent voorbeeld is de Bybit-hack, waarbij maar liefst $1,5 miljard werd buitgemaakt. Dit wordt gezien als de grootste crypto-heist ooit.

Bybit-hack laat zien hoe lastig opsporing is

Bij de aanval op Bybit werden onder andere staked Ether (stETH), Mantle Staked ETH (mETH) en andere ERC-20 tokens gestolen. Ondanks de enorme klap wist Bybit gebruikers gewoon hun tegoeden te laten opnemen door snel extra financiering aan te trekken.

Binnen tien dagen werd $1,4 miljard van de buit gewassen via mixers en crosschain-swaps. Volgens Deddy Lavid, CEO van blockchain-beveiligingsbedrijf Cyvers, kunnen sommige fondsen nog traceerbaar zijn, maar is het extreem lastig om deze terug te halen.

Opvallend is dat THORChain, een platform voor crosschain swaps, na de hack een flinke stijging in activiteit zag. Dit suggereert dat de gestolen fondsen via dit protocol zijn weggesluisd.

Conclusie

De hack op 1inch benadrukt het belang van regelmatige audits en up-to-date smart contracts. Hoewel gebruikersfondsen veilig zijn, is het platform nu $5 miljoen kwijt.

De recente Bybit-hack laat zien hoe moeilijk het is om gestolen crypto terug te halen. Toch blijven beveiligingsbedrijven en exchanges zoeken naar nieuwe manieren om criminelen een stap voor te blijven.